《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx》由会员分享,可在线阅读,更多相关《《网络安全设备原理与应用》 实验手册 实验1--12 AC的路由模式部署---EDR客户端的基本策略和客户端卸载.docx(65页珍藏版)》请在优知文库上搜索。
1、实验1AC的路由模式部署【实验目的】理解深信服上网行为管理设备(下面简称AC),作为公司网关部署的过程与原理.【实验原理】AC作为网关部署在公司互联同出口,其原理与传统路由需一诙。主要作用完成用户的SNAT上网工作,以及从外向内访问服务器的DNAT工作.本实脸,我们主要讲述SMT的部署过程.【实验场景】某大型集出公司,其集团总部为了管理公司内部PC上网,计划使用AC来代音传统路由器,解决用户上网认证、网速管理、口忐审计等问逝,本实裟是部为AC的第一步场景.【实险拓扑】如图11所示.为本实验拓扑结构.:三A3411rWHIq色HWFMeD-不实上不雷要24,XXC0S1.MRC的路由模式部署柘扑
2、图【实险设备】1、总部AC,作总部出口网关使用2.微软域控,作为总部的服务器.本实验中主要作用为WEB服务零.理解为集团公E网站.3、PC1.普通办公PC.员,办公使用,需要连接互联网4,Intemet-WEBServer,互联网上的WEB服务涔,理解为类似sina,badu等站点.【环境预配】【环境预配】.是指已经【实验场景】的闻也边界.实验环境中,非深怕服设备,不需要学员IES1.如交换机、路由器、PC服务器.实验环境中,深信服设品,需要学员按实验拓扑】说明进行配置.实脸环境中,配置基本道箭上述两条原则,少数实脸例外.例外过程,在【实步骤】中说明.【实验步骤】一、配置总部AC的网络(操作对
3、象:总部AC)1.1 如图卜2所示,开始配置网络图1-2AC部密模式1.2 如图1-3所示,选择路由模式|r1.图1.3ACyS由部署模式1.3 根据拓扑图,配置网卡,如图14所示,其中ETHI为1.AN口,即办公区ETH2为。MZ口,即服务器区ETH3为WANC1.,即互联网区图IT路由模式接口1.4 如图16所示,配词ETH1,ETH1.接办公区,IP培址参照拓扑图配汽图1-51.AN口配置1.5如图1.6所示,配81ETH3ETH3接互联区,IP地址参照拓扑图配置图1-6WAN口配置1.6如图17所示,配置ETH2ETH2按DMZ区,即服务器区.P地址参照拓扑图配置图1-7DMZ接口配1
4、.7如图卜8所示,配置代理上网这里配置代理办公网段上网,办公网网段为192.168.1.0/24图1-8NAT配管1.8如图卜9所示,检杳无误后提交打开桌面上浏览器访何Internet-WEB,即124.126.2.2OW三RBtt)1.-nAD域测试效果发现无法访问,因为在AC中仅做了办公网段的代理上网,而没有做眼务等网段代理上网.四、查看Pa能否访科域控制器上的WEB页面(操作对象:PCD如图1-12所示,打开PC1.条面上的浏览涔.访问微软域控的WEB,即172.16.0.100三1-2AD域修改后测试效果可以访问,因为PCI与微软域控,向在内网,路由宜接可达.【实验总结】通过本实验,理
5、耨AC的网关部署原理,和传统路由涔作网关像理一致.AC所谓的“代理上网”理解为SXAT,即源地址转换.图2H接口选择1.4如图2-5所示,配置ETH1.ETHI接办公区,IP地址参照拓扑图配置图2-51.AN口配置1.5如图2-6所示,配置ETH3ETH3接互联网区,IP地址参照拓扑图配置!虹.nwddrssstohostZmttHhWTO-cwtnanndMdua1.kw.TheIPaddreushou1.d口3Mumnfo1.1.owedbythecorrepdinghostnameTheaddressandthehonamesboddbeseparatedbyJt1.eastonespa
6、ce.MdrtomiyCorrwnerrti(JMChnthese)maybinsertedonind汕d3orfo1.b*1n9themchC4hortnmereio/ufconehndiedwithinDNSrtsdf127.0Q1.IOCahOStNKa)MDWO)(Y)叫M)聊Copyright(C)19932009MicrosoftCorp.*“Thisisasamp1.eHOSTSfi1.eusedbyMicrosoftTCP/IPforWindows.* Thisfi1.econtainsthemappingsofIPaddressestohostnamesEach* entry
7、shou1.dbekeptonanindividua1.1.ine.TheIPaddressshou1.d* bep1.acedinthefirstco1.umnfo1.1.owedbythecorrespondinghostname.* TheIPaddressandthehostnameshou1.dbeseparatedbyat1.eastone停space,* Additiona1.1.y,comments(suchasthese)maybeinsertedonindividua1.#1.inesorfo1.1.owingthemachinenamedenotedbya,symbo1.
8、界“Forexamp1.e:#“102.549497rino.cmecomftsourceserver* 38.25.63.10.nc1.ienthost* 1.oca1.hostnamereso1.utionishand1.edwithinDNSitse1.f.* 127OO1Iocd1.host124.126.200.2www.movWindow*(CRIO934-23添加hoMs记录4.4如图4-24所示,保存并退出hosts文件.aS4-29UR1.kS.IN化如苏.,二N件下:图430杳石域名关讨字如图4-29和4-30所示,可以看到在线影者是通过域名识别关犍字三ovievideom
9、usic等关键字实现压缩文件的定义实验5AF的路由模式部署【实验目的】掌握AF的部署配置.,理解AF作为网关出口部署的晚理,【实验原理】AF作为F一代防火墙,其在部署过程中有多种部署模式,本实验中我们使用一种最为简单的部署模式,即路由模式部署.可以招AF理解为一台路由器,上面有多个接口,分别连接不同的安全区域.【实验场景】某大型集团公司,为保护内部服务器与员工上网的安全性,决定使用AF部署在网关,时流瓶诳行检测与分析。本实验中,仅是AF的路由模式部署过程,不涉及RF的安全策略配置,【实验拓扑】如图5T,为本实骁拓扑结构,K幡不“IM5-1实片S拓扑【实验设备】1.总部AFO1,作总部出口N关使
10、用2、总部网站,作为总部的服务器.本实验中主要作用为WEB服务器,理解为集团公H网站.3、PC1.普通办公PC,员工办公使用。4、InternetWEBServer.本实险中主要作用为互联网上的服务器。【环境预配】【环境预配】,是指已羟【实验场景】的衽跟边界.实验环境中,等深信服设备,不需要学员”如交换机、路由器、PC、服务器,(S5-4信任区配置3.2如图5-5所示,选择非信任区接口,根据拓扑,选择ETH3图5-7进入接口配置四、配词区域IP地址(操作对象:总部AFoI)4.1 配置管理区IP直接跳过即可.本实验不偌要用到管理IP4.2 配Ja信任区IP如图5-8所示,如拓扑所示,信任区IP为192.168.1.1/24图58信任区接口配置4.3配置非信住区IP.如图5-9所示,如拓扑所示,非信任区IP为124.126.100.2/28图111JS由配置六、如图5-12所示,配词场景镀略(操作对敞;总部ARn)本实脸目的是部署防火塔,安全策略料不涉及,这里欣认卜一步即可815-12安全第BS配置七、如图5-13所示,定义网络对上(操作对象:总部AFoI)直接卜一步三5-
免费区 